美国制裁云服务商Funnull:猪屠宰诈骗的主要源头

美国政府宣布对菲律宾云服务提供商Funnull Technology Inc.实施经济制裁,该公司为涉及虚拟货币投资诈骗的数十万个网站提供计算机基础设施,导致美国受害者损失超过2亿美元。文章详细分析了Funnull如何利用美国云提供商路由恶意流量,并探讨了相关技术基础设施和应对措施。

美国制裁云服务商‘Funnull’作为‘猪屠宰’诈骗的主要源头

美国政府今日对Funnull Technology Inc.实施经济制裁,这家菲律宾公司为涉及虚拟货币投资诈骗(称为“猪屠宰”)的数十万个网站提供计算机基础设施。2025年1月,KrebsOnSecurity详细报道了Funnull如何被用作内容交付网络(CDN),服务于寻求通过美国云提供商路由流量的网络犯罪分子。

美国财政部在声明中表示:“美国人每年因这些网络诈骗损失数十亿美元,2024年这些犯罪收入创下历史新高。”Funnull及其40岁的中国管理员刘立志(Liu Lizhi)受到制裁。“Funnull直接促成了多起此类骗局,导致美国受害者报告的损失超过2亿美元。”

财政部称,Funnull的操作与联邦调查局(FBI)报告的大多数虚拟货币投资诈骗网站有关。该机构表示,Funnull直接促成了猪屠宰和其他骗局,导致美国人经济损失超过2亿美元。

猪屠宰是一种猖獗的欺诈形式,人们被网上调情的陌生人引诱投资欺诈性加密货币交易平台。受害者被指导向一个看似极其盈利的交易平台投入越来越多资金,但当他们想提现时,却发现资金消失无踪。

骗子经常坚持要求投资者在“看到”投资资金之前支付额外的加密“收益”“税款”(剧透:他们从未看到),令人震惊的是,许多人通过这些猪屠宰骗局损失了六位数或更多资金。

KrebsOnSecurity在2025年1月关于Funnull的报道基于安全公司Silent Push的研究,该公司在2024年10月发现,通过Funnull托管的大量域名在推广带有太阳城集团标志的赌博网站。太阳城集团是一家中国实体,在2024年联合国报告(PDF)中被点名,为朝鲜国家支持的黑客组织Lazarus洗钱数百万美元。

Silent Push发现Funnull是一个犯罪内容交付网络(CDN),承载大量与诈骗网站相关的流量,通过一系列令人眼花缭乱的自动生成域名和美国云提供商路由流量,然后重定向到恶意或钓鱼网站。FBI发布了一份技术报告(PDF),详细介绍了2023年10月至2025年4月期间用于管理恶意Funnull域名的基础设施。

FBI的图表解释了Funnull如何定期生成大量新域名,并将它们映射到美国云提供商的互联网地址。

Silent Push在2025年1月重新检查了Funnull的基础设施,发现Funnull仍在使用许多相同的亚马逊和微软云互联网地址,这些地址在其10月报告中被识别为恶意。亚马逊和微软都承诺在报道后清除其网络中的Funnull存在,但据Silent Push的Zach Edwards称,只有一家公司跟进。

Edwards表示,Silent Push不再看到微软互联网地址出现在Funnull的基础设施中,而亚马逊仍在努力移除Funnull服务器,包括一个似乎最早出现在2023年的服务器。

“亚马逊做得非常糟糕——自从他们在我们的公开博客中向您和我们做出这些承诺以来,每天都有IP地址仍然映射到Funnull,包括一些莫名其妙地长时间保持映射的IP,”Edwards说。

亚马逊表示,其亚马逊网络服务(AWS)托管平台积极打击滥用尝试。

“今年我们已经阻止了数百次与该组织相关的尝试,并且我们正在调查您今天早些时候分享的信息,”亚马逊分享的声明中写道。“如果任何人怀疑AWS资源被用于滥用活动,可以通过报告滥用表单向AWS Trust & Safety报告。”

美国云提供商仍然是网络犯罪组织有吸引力的基地,因为许多组织不会过于积极地阻止来自美国云网络的流量,因为这样做可能会导致阻止访问许多在同一共享网络段或主机上的合法网站目的地。

此外,将其不良流量 funnel 使其看起来来自美国云互联网提供商,允许网络犯罪分子从地理上更接近其目标和受害者的网络地址连接网站(例如,绕过银行基于位置的安全控制)。

Funnull不是本月唯一受到制裁的网络犯罪基础设施即服务提供商:2025年5月20日,欧盟对Stark Industries Solutions实施制裁,这家ISP在俄罗斯入侵乌克兰之初出现,并被用作全球代理网络,隐藏针对俄罗斯敌人的网络攻击和虚假信息活动的真实来源。

2024年5月,KrebsOnSecurity发布了对Stark Industries Solutions的深度报道,发现穿越Stark网络的大量恶意流量(例如漏洞扫描和密码暴力攻击)通过美国云提供商反弹。我的报道显示了Stark如何深度渗透美国ISP,并且其联合创始人多年来销售“防弹”托管服务,告诉俄罗斯网络犯罪论坛客户,他们会自豪地忽略任何滥用投诉或警方询问。

Stark Industries Solutions的主页。

该报道审查了Stark联合创始人的历史,摩尔多瓦兄弟Ivan和Yuri Neculiti,他们各自否认过去参与网络犯罪或当前参与协助俄罗斯虚假信息努力或网络攻击。然而,欧盟也制裁了这两兄弟。

欧盟表示,Stark和Neculiti兄弟“通过提供旨在隐藏这些活动免受欧洲执法和安全机构注意的服务,使各种俄罗斯国家支持和国家附属的行为者能够进行破坏性活动,包括协调信息操纵和干扰以及针对欧盟和第三国的网络攻击。”

评论摘要

  • Jasmine Belmont(2025年5月30日):强调网络犯罪基础设施的深度嵌入,呼吁云服务实施更严格的监控。
  • Emily T.(2025年5月31日):指出评论中可能存在AI生成的虚假信息尝试。
  • BRian Krebbers(2025年6月9日):简短称赞网站内容。
  • Sean Flanagan(2025年6月1日):质疑谁会从监控流量的公司购买云服务器。
  • 多个“crazy”用户(2025年6月2日):发表简短感叹评论。
  • jon bondy(2025年5月30日):询问制裁的具体类型和有效性。
  • mealy(2025年5月31日):详细解释制裁对个人和公司的影响,以及地缘政治因素。
  • Fabio(2025年6月1日):提到巴西部长Alexandre de Moraes的制裁案例。
  • Catwhisperer(2025年6月1日):讨论IP封锁的无效性和威胁行为者的迁移策略。
  • Dave Hobbs(2025年6月1日):感谢文章,称对其迪拜的数字营销公司有用。
  • some guy on the internet(2025年6月3日):质疑Dave Hobbs评论的关联性。
  • property of riz(2025年6月5日):指出评论中机器人的链接。

评论已关闭。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次